Tech

เครื่องกำเนิดใบหน้าปลอม AI สามารถย้อนกลับเพื่อเปิดเผยใบหน้าจริงที่พวกเขาฝึกฝนได้

โหลดเว็บไซต์ บุคคลนี้ไม่มีอยู่ และมันจะแสดงให้คุณเห็นใบหน้ามนุษย์ที่เกือบจะสมบูรณ์แบบในความสมจริงแต่ก็ปลอมโดยสิ้นเชิง รีเฟรชและโครงข่ายประสาทเทียมที่อยู่เบื้องหลังไซต์จะสร้างอีกอันหนึ่งและอีกอันหนึ่งและอีกอันหนึ่ง ลำดับที่ไม่มีที่สิ้นสุดของใบหน้าที่สร้างขึ้นโดย AI นั้นสร้างขึ้นโดยเครือข่ายปฏิปักษ์เชิงกำเนิด (GAN) ซึ่งเป็น AI ประเภทหนึ่งที่เรียนรู้ที่จะสร้างตัวอย่างข้อมูลที่สมจริงแต่เป็นเท็จที่ได้รับการฝึกอบรม

แต่ใบหน้าที่สร้างขึ้นดังกล่าว ซึ่งเริ่มที่จะ ถูกใช้ในภาพยนตร์และโฆษณา CGI — อาจไม่มีเอกลักษณ์อย่างที่คิด . ในบทความชื่อ บุคคลนี้ (อาจเป็นไปได้) นักวิจัยแสดงให้เห็นว่าใบหน้าจำนวนมากที่สร้างโดย GAN มีความคล้ายคลึงกับบุคคลจริงที่ปรากฏในข้อมูลการฝึกอบรม ใบหน้าปลอมสามารถเปิดโปงใบหน้าจริงที่ GAN ได้รับการฝึกฝนได้อย่างมีประสิทธิภาพ ทำให้สามารถเปิดเผยตัวตนของบุคคลเหล่านั้นได้ งานวิจัยชิ้นนี้เป็นงานวิจัยล่าสุดที่ก่อให้เกิดข้อสงสัยว่าโครงข่ายประสาทเทียมคือ “กล่องดำ” ที่ไม่เปิดเผยอะไรเกี่ยวกับสิ่งที่เกิดขึ้นภายใน

)

เพื่อแสดงข้อมูลการฝึกที่ซ่อนอยู่ Ryan Webster และเพื่อนร่วมงานของเขาที่มหาวิทยาลัยก็อง นอร์มังดีในฝรั่งเศสใช้การโจมตีประเภทหนึ่งที่เรียกว่าสมาชิกภาพโจมตี ซึ่งสามารถใช้เพื่อค้นหาว่าข้อมูลบางอย่างถูกใช้ในการฝึกประสาทหรือไม่ โมเดลเครือข่าย การโจมตีเหล่านี้มักจะใช้ประโยชน์จากความแตกต่างที่ละเอียดอ่อนระหว่างวิธีที่โมเดลจัดการกับข้อมูลที่ได้รับการฝึก และด้วยเหตุนี้จึงได้เห็นมาแล้วนับพันครั้ง—และข้อมูลที่ไม่ปรากฏให้เห็น

ตัวอย่างเช่น ตัวแบบอาจระบุภาพที่มองไม่เห็นก่อนหน้านี้ได้อย่างแม่นยำ แต่มีความมั่นใจน้อยกว่าภาพที่ฝึกฝนมาเล็กน้อย ประการที่สอง โมเดลการโจมตีสามารถเรียนรู้ที่จะระบุคำสั่งดังกล่าวในพฤติกรรมของโมเดลแรก และใช้พวกมันเพื่อคาดการณ์เมื่อข้อมูลบางอย่าง เช่น ภาพถ่าย อยู่ในชุดการฝึกหรือไม่

การโจมตีดังกล่าวสามารถนำไปสู่การรั่วไหลด้านความปลอดภัยที่ร้ายแรง ตัวอย่างเช่น การค้นหาข้อมูลทางการแพทย์ของใครบางคนถูกใช้เพื่อฝึกแบบจำลองที่เกี่ยวข้องกับโรคอาจเปิดเผยว่าบุคคลนี้เป็นโรคนั้น

ทีมงานของเว็บสเตอร์ได้ขยายแนวคิดนี้เพื่อที่แทนที่จะระบุ ภาพถ่ายที่ใช้ฝึก GAN ที่แน่นอน พวกเขาระบุภาพถ่ายในชุดฝึกของ GAN ที่ไม่เหมือนกัน แต่ดูเหมือนจะสื่อถึงบุคคลคนเดียวกัน—กล่าวอีกนัยหนึ่งคือ ใบหน้าที่มีตัวตนเหมือนกัน ในการทำเช่นนี้ นักวิจัยได้สร้างใบหน้าด้วย GAN เป็นครั้งแรก จากนั้นจึงใช้ AI จดจำใบหน้าแยกต่างหากเพื่อตรวจสอบว่าตัวตนของใบหน้าที่สร้างขึ้นเหล่านี้ตรงกับตัวตนของใบหน้าใดๆ ที่เห็นในข้อมูลการฝึกหรือไม่

ผลลัพธ์ที่ได้นั้นน่าทึ่ง ในหลายกรณี ทีมงานพบภาพถ่ายคนจริงจำนวนมากในข้อมูลการฝึกที่ดูเหมือนจะตรงกับใบหน้าปลอมที่สร้างโดย GAN ซึ่งเผยให้เห็นตัวตนของบุคคลที่ AI ได้รับการฝึกฝน

ทางซ้าย- คอลัมน์มือในแต่ละบล็อกแสดงใบหน้าที่สร้างโดย GAN ใบหน้าปลอมเหล่านี้ตามด้วยภาพถ่ายของบุคคลจริง 3 ภาพที่ระบุในข้อมูลการฝึกอบรม

UNIVERSITY OF CAEN NORMANDY

งานนี้ทำให้เกิดความกังวลเรื่องความเป็นส่วนตัวที่ร้ายแรง Jan Kautz รองประธานฝ่ายการเรียนรู้และการวิจัยการรับรู้ของ Nvidia กล่าวว่า “ชุมชน AI มีความปลอดภัยที่ทำให้เข้าใจผิดเมื่อแชร์โมเดลเครือข่ายประสาทเทียมระดับลึกที่ได้รับการฝึกฝน

ตามทฤษฎีแล้ว การโจมตีประเภทนี้สามารถนำไปใช้กับข้อมูลอื่นที่เกี่ยวข้องกับบุคคล เช่น ข้อมูลไบโอเมตริกหรือข้อมูลทางการแพทย์ ในทางกลับกัน Webster ชี้ให้เห็นว่าผู้คนสามารถใช้เทคนิคนี้ในการตรวจสอบว่าข้อมูลของพวกเขาถูกใช้เพื่อฝึก AI หรือไม่โดยไม่ได้รับความยินยอมจากพวกเขา

ศิลปินสามารถค้นหาว่างานของพวกเขามี ถูกใช้เพื่อฝึก GAN ในเครื่องมือเชิงพาณิชย์ เขาพูดว่า: “คุณสามารถใช้วิธีการเช่นของเราเพื่อเป็นหลักฐานการละเมิดลิขสิทธิ์”

กระบวนการนี้ยังสามารถใช้เพื่อให้แน่ใจว่า GAN ไม่เปิดเผยข้อมูลส่วนตัวตั้งแต่แรก GAN สามารถตรวจสอบว่าการสร้างสรรค์ของมันคล้ายกับตัวอย่างจริงในข้อมูลการฝึกอบรมหรือไม่ โดยใช้เทคนิคเดียวกันกับที่นักวิจัยพัฒนาขึ้น ก่อนที่จะเผยแพร่

แต่สิ่งนี้ถือว่าคุณสามารถเก็บข้อมูลการฝึกอบรมนั้นได้ Kautz กล่าว เขาและเพื่อนร่วมงานที่ Nvidia ได้คิดค้นวิธีใหม่ในการเปิดเผยข้อมูลส่วนตัว รวมถึงภาพใบหน้าและวัตถุอื่นๆ ข้อมูลทางการแพทย์ และอื่นๆ ที่ไม่ต้องการการเข้าถึงข้อมูลการฝึกอบรมเลย

แต่พวกเขาได้พัฒนาอัลกอริธึมที่สามารถสร้างข้อมูลขึ้นมาใหม่ซึ่งแบบจำลองที่ได้รับการฝึกได้รับการเปิดเผยโดย ย้อนกลับขั้นตอนที่ตัวแบบดำเนินการ ผ่าน

เมื่อประมวลผลข้อมูลนั้น ใช้เครือข่ายการรู้จำภาพที่ได้รับการฝึกมา: เพื่อระบุสิ่งที่อยู่ในภาพ เครือข่ายจะส่งผ่านผ่านชั้นเซลล์ประสาทเทียมหลายชั้น แต่ละชั้นจะดึงข้อมูลในระดับต่างๆ ตั้งแต่ขอบจนถึงรูปร่าง ไปจนถึงคุณลักษณะที่เป็นที่รู้จักมากขึ้น

ทีมงานของ Kautz พบว่าพวกเขาสามารถขัดจังหวะโมเดลระหว่างขั้นตอนเหล่านี้และย้อนกลับทิศทางได้ โดยสร้างภาพอินพุตขึ้นใหม่จากข้อมูลภายในของโมเดล พวกเขาทดสอบเทคนิคนี้กับโมเดลการรู้จำภาพทั่วไปและ GAN ที่หลากหลาย ในการทดสอบครั้งเดียว พวกเขาแสดงให้เห็นว่าสามารถสร้างรูปภาพขึ้นมาใหม่ได้อย่างแม่นยำจาก ImageNet ซึ่งเป็นหนึ่งในชุดข้อมูลการรู้จำรูปภาพที่รู้จักกันดีที่สุด

รูปภาพจาก ImageNet (บนสุด) ควบคู่ไปกับการสร้างขึ้นมาใหม่ ภาพที่สร้างขึ้นโดยการกรอกลับโมเดลที่ฝึกบน ImageNet (ด้านล่าง)

NVIDIA

เช่นเดียวกับงานของเว็บสเตอร์ รูปภาพที่สร้างขึ้นใหม่นั้นใกล้เคียงกับของจริงมาก “เรารู้สึกประหลาดใจกับคุณภาพขั้นสุดท้าย” Kautz กล่าว

นักวิจัยให้เหตุผลว่าการโจมตีประเภทนี้ไม่ได้เป็นเพียงการสมมุติ สมาร์ทโฟนและอุปกรณ์ขนาดเล็กอื่นๆ เริ่มใช้ AI มากขึ้น เนื่องจากข้อจำกัดของแบตเตอรี่และหน่วยความจำ บางครั้งโมเดลจึงถูกประมวลผลเพียงครึ่งเดียวในอุปกรณ์เอง และส่งไปยังคลาวด์เพื่อทำการประมวลผลขั้นสุดท้าย ซึ่งเป็นแนวทางที่เรียกว่าการประมวลผลแบบแยกส่วน นักวิจัยส่วนใหญ่สันนิษฐานว่าการคำนวณแบบแยกส่วนจะไม่เปิดเผยข้อมูลส่วนตัวใด ๆ จากโทรศัพท์ของบุคคลเพราะมีเพียงรุ่นที่ใช้ร่วมกันเท่านั้น Kautz กล่าว แต่การโจมตีของเขาแสดงให้เห็นว่าไม่เป็นเช่นนั้น

Kautz และเพื่อนร่วมงานของเขากำลังทำงานเพื่อหาวิธีป้องกันแบบจำลองจากการรั่วไหลของข้อมูลส่วนตัว เราต้องการทำความเข้าใจกับความเสี่ยงต่างๆ เพื่อให้สามารถลดความเสี่ยงได้

แม้ว่าพวกเขาจะใช้เทคนิคที่แตกต่างกันมาก แต่เขาคิดว่างานของเขาและเว็บสเตอร์ช่วยเสริมซึ่งกันและกันได้ดี ทีมของเว็บสเตอร์แสดงให้เห็นว่าข้อมูลส่วนตัวสามารถพบได้ในผลลัพธ์ของแบบจำลอง ทีมของ Kautz แสดงให้เห็นว่าข้อมูลส่วนตัวสามารถเปิดเผยได้โดยการย้อนกลับและสร้างอินพุตใหม่ “การสำรวจทั้งสองทิศทางเป็นสิ่งสำคัญในการทำความเข้าใจวิธีป้องกันการโจมตีให้ดีขึ้น” Kautz กล่าว

    อาหาร

  • เกม
  • การท่องเที่ยว
  • Leave a Reply

    Your email address will not be published. Required fields are marked *

    Back to top button